In unserem Podcast diskutiert Thomas Bahn über Nutzen, Anwendungen und Erfahrungen aus den Bereichen Chatbots und Künstliche Intelligenz. Mehr erfahren

HCL Domino-Lizenzierung und DLAU

von Manuel,
assono GmbH, Standort Kiel,

HCL ändert das Lizenzmodell

Es ist sicher keine Überraschung mehr, dass HCL das Lizenzmodell angepasst hat, um es, nach eigenen Angaben, zu vereinfachen. Dabei entfallen die Lizenzmodelle, die IBM zu seiner Zeit angeboten hat. Kürzlich wurde das "Utility"-Modell explizit abgekündigt, das per sofort nicht mehr angeboten wird.

CCB-Lizenzierung

Ich will hier nicht allzu tief ins Detail gehen, denn natürlich ist das von HCL auch detailliert beschrieben.

Ganz grob:

Es wird unterschieden zwischen "Bekannt" und "Unbekannt". Als bekannte Nutzer gelten solche, die eine Notes-ID oder ein Internet-Kennwort haben und sich also authentifizieren können. Nur diese sind logischerweise bei der Lizenzierung überhaupt zu berücksichtigen.

Bekannte Nutzer werden unterschieden zwischen "CCB", "CCX" (beide zu lizensieren) und "Bekannter Gast" (unlizensiert). Das "X" in CCX steht dabei für "External" und soll entsprechende Anwendungsfälle abbilden, die für externe Nutzer einfacher Workflow-Anwendungen erwartbar sind. Es kommt dabei technisch allerdings nicht auf das "External" an, sondern auf zwei Aspekte:

  1. Der Anwender ist nur "funktionaler" Nutzer von E-Mail. Er hat also keine eigene Maildatenbank. Das wäre zum Beispiel der Fall, wenn der Mailtyp "None" oder "Other Internet Mail" ist.
  2. Er hat keine Anwendungsberechtigung höher als "Autor"

Der "bekannte Gast" kann sich zwar authentifizieren, hat aber keine Anwendungsrechte höher als "Leser" - ggf. mit Einlieferer-/Depositorrecht.

Es zählen natürlich nur solche Accounts, die nicht in "No-Access" Gruppen stehen.

Update 19.10.2023

Auf Rückfrage eines Lesers hin möchte ich bestätigen, dass die CCX Lizenzen nur für Nutzer gelten sollen, die nicht Angestellte des Unternehmens sind. Das wird hier klarer als aus den bisher verlinkten Materialien.

Wie optimieren Sie die Lizenzen?

Wie oben sichtbar geworden ist, gibt es grundsätzlich zwei Punkte, bei denen für die Optimierung angefasst werden kann. Die Authentifizierung als "bekannt" oder "unbekannt" sowie das maximale Zugriffsrecht.

Optimierung bei der Authentifizierung

Die Frage ist: müssen sich wirklich alle Accounts authentifizieren, die im Domino Directory als Personen eingetragen sind?

Ich sehe es oft in Umgebungen, dass auch ausgeschiedene Benutzer noch im Domino Directory vorhanden sind. Fügen Sie diese unbedingt (auch aus Sicherheitsgründen) zu einer No Access Gruppe hinzu.

Und wenn Sie schon dabei sind, achten Sie darauf, dass der HTTP-Server (und IMAP- und POP3- und...) die Gruppe auch berücksichtigt. Unter den Port-Einstellungen: "Einstellungen zum Serverzugriff erzwingen"

Aus verschiedenen Gründen gibt es oft auch Funktionspostfächer, die als Person mit registrierter ID angelegt wurden. Das ist oft in dieser Form gar nicht notwendig. Wichtige Fragen an dieser Stelle sind:

Wenn Sie diese Fragen mit "Ja" und "Nein" beantworten können, ist die Wahrscheinlichkeit sehr hoch, dass Sie diese Accounts auch als Mail-In-Datenbanken - und damit kostenlos - weiterleben lassen können. Oder Sie löschen die Zertifikatsinformationen und das HTTP-Kennwort aus dem Personendokument.

Optimierung beim Berechtigungslevel

Etwas, worauf ich bei Prüfungen immer wieder hinweise, weil ich es oft genug vorfinde ist, dass Anonymous und -Default- nur in absoluten Ausnahmefällen höhere Rechte als "Kein Zugriff" haben sollten, aber nie(!) mehr als als Autor. Was im oben genannten Kontext für die Sicherheit relevant ist und damit erst einmal nur mittelbar finanziell ausgedrückt werden kann, hat nun ganz reale Konsequenzen für die Lizenzierung und damit die Kosten, denn das gewährt auch potentiellen CCX oder Gast-Nutzern Rechte, die nach CCB lizenziert werden müssen.

In der catalog.nsf finden Sie eine Ansicht "Zugriffskontrolle -> Nach Name". Wählen Sie dort Anonymous oder Default und lassen Sie sich dort alle Anwendungen anzeigen, die zu hohe Rechte gewähren. Entfernen Sie diese (die Rechte, nicht die Anwendungen :P).

Gerade dieser Prozess kann im Einzelfall sehr lange dauern , weil mit den Entwicklern von Anwendungen gesprochen werden muss, wie die sich das Zugriffskonzept gedacht haben - vielleicht ist dort der -Default- Teil des Konzeptes? Das wäre dann der perfekte Anlass, darüber nochmal nachzudenken.

Gerade von den Utility-Lizenzen her kommend kann es sein, dass Anwendungen, die für potentiell unbegrenzt viele externe Nutzer konzipiert sind, diesen authentifizierten Zugriff mit Autoren-Rechten gewähren. Dies würde mit CCB/CCX ggf. beliebig teuer. Achten Sie auf Anwendungen dieser Art und fragen Sie gerne auch uns, um Alternativen umzusetzen.

Starten Sie früh mit der Analyse Ihres Lizenzbedarfs, 
damit Sie für die möglicherweise umfangreicheren Optimierungsarbeiten genügend Zeit haben.

Domino License Analysis Utility - DLAU

Um zu einem wirklich korrekten Stand zu kommen, erwartet HCL bei Lizenzverhandlungen eine Lizenzanalyse mit DLAU. Es handelt sich um eine Notes-Anwendung, die mit Administratorenrechten auf einem Notes-Client ausgeführt wird und Informationen über die Domino-Umgebung und die Nutzeraccounts sammelt. DLAU erzeugt darauf basierend einen Report, der nur Informationen über die Menge der notwendigen Lizenzen, aber keine über Accounts enthält.

Die von DLAU gesammelten Daten können aber auch genutzt werden, um herauszufinden, wo das Optimierungspotential besteht. Es listet alle Nutzeraccounts auf, die gezählt wurden und macht sichtbar, wie der Account zu seinem maximalen Zugriffsrecht kommt, so dass auch ggf. fehlerhafte Konfigurationen die lizenzrelevant sind, aufgedeckt werden.

Somit ist DLAU nicht nur ein Werkzeug für HCL, sondern auch für Sie, um selber einen Überblick zu erhalten und auch dauerhaft im Bilde zu bleiben, wie sich Ihr Lizenzbedarf entwickelt, um nicht am Ende zum Zeitpunkt der Lizenzverhandlung überrascht zu werden.

„Um in der DLAU-Analyse eine korrekte Unterscheidung zwischen CCB und CCX erreichen zu können, kann man im Wizard das weitere Directory oder die Organisation (den O= Teil des Namens) als Merkmal wählen.“

— Update 19.10.2023

Diskussion

Die Lizenzanpassungen sind insgesamt tatsächlich eine Vereinfachung, da hier nicht verschiedene Lizenzmodelle verglichen werden müssen oder verschiedene Zugriffsarten (Clients) unterschiedlich lizenzieren zu müssen. Ein Account -> eine Lizenz. Das ist auch eine Änderung gegenüber der IBM-Lizensierung, wo Menschen, nicht Accounts gezählt wurden.
Sie geht drüber hinaus auch mit der Zeit, denn es ist inzwischen überall üblich, den Lizenzbedarf direkt und sichtbar zu analysieren und direkt abzurechnen; mit Cloud erst recht. Leider gibt es bei solchen Änderungen natürlich auch Nachteile. Einzelne exotischere Anwendungsfälle werden erheblich teurer, aber generell ist nicht zwingend, dass Ihr Lizenzbedarf und damit die Kosten deutlich steigen. Laut HCL gibt es auch Unternehmen, deren Kosten sinken; auch wenn das nicht die große Mehrheit ist.

Ich möchte nochmal betonen: Das Geschriebene gilt für die "neuen" HCL CCB-/CCX-Lizenzen. Wenn Sie noch die "alten" IBM-Lizenzformen einsetzen, brauchen Sie heute noch kein DLAU, aber mit den vielen Vorteilen der CCB-/CCX-Lizenzen, wie etwa HCL Nomad Web, könnte sich eine Umstellung in Zukunft eventuell lohnen. Und damit Sie dann schon gut vorbereitet sind, sollten Sie vielleicht trotzdem heute schon beginnen, die genannten Optimierungen umzusetzen.

In jedem Fall gilt: orientieren Sie sich möglichst frühzeitig und kommen Sie gerne auf uns zu. Wir unterstützen Sie in Rat und Tat.

Quellen:

Fachbeitrag HCL Notes HCL Domino Administration Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 416
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de